お客様のデータ保護とセキュリティ確保は、Cohesityにお任せください
世界最大級の組織が、データ保護とセキュリティ確保をCohesityに託しています。AI搭載のビルトイン脅威検知機能、ゼロトラストの原則、主要なセキュリティパートナーとの統合により、お客様も安心してデータをお任せいただけます。
CohesityのAIを活用したデータセキュリティプラットフォームは、サイバーレジリエンス戦略を強化し、データからインサイトを引き出す上で役立ちます。
Cohesityは、厳格な製品セキュリティ基準を維持し、製品ライフサイクルのすべての段階で導入を検査しています。業界のベストプラクティスに従い、以下のようなセキュリティ対策やセキュリティ機能を取り入れることにより、Cohesityは安全で高機能な製品とサービスをお客様にお届けしています。
セキュアバイデザイン
Cohesityは、セキュアバイデフォルト、セキュアな障害時動作、暗号アルゴリズムのセキュアな実装などを含む (ただし必ずしもこれらに限定されない) 基本的なセキュリティ原則に従います。新機能を開発する際に、目標とするセキュリティ体制、コンプライアンス、製品の認証を確保するため、Cohesityは製品設計を現行のセキュリティベストプラクティスと整合させます。
セキュアな開発
Cohesityの開発チームは、開発ライフサイクルの設計計画の段階において、Product Security (製品セキュリティ) 専門チームと連携します。CohesityのProduct Security (製品セキュリティ) チームは、安全な設計パターンの採用を推奨し、脅威モデリングを行い、該当するセキュリティ基準を定義し、セキュリティ要件を設定します。
脅威モデリング
Cohesityは、設計におけるセキュリティ目標を達成し、アプリケーションやシステムに影響を及ぼす可能性のある脅威、攻撃、脆弱性、対策を特定するなどしてリスクを低減するために、STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege、なりすまし・改ざん・否認・情報漏えい・サービス拒否・特権の昇格) フレームワークを設計実務に採用しています。Cohesityは、新機能や脅威の変化に応じて、製品の脅威モデルを定期的に更新しています。
セキュリティ要件の特定と設定
CohesityのProduct Security (製品セキュリティ)、Information Security (情報セキュリティ)、製品管理チームは、Cohesityの製品およびサービスポートフォリオ全体に適用されるセキュリティ基準を定義し、セキュリティ要件を義務付けます。
セキュリティ保証
Cohesityのプラットフォームとインフラは、定期的にセキュリティテストとハードニングを行い、セキュリティを強化しています。OSやコンポーネントは特別に構成され、CIS (Center for Internet Security、国際インターネットセキュリティ組織) ベンチマークや米国国防総省のSTIG (Security Technical Implementation Guide、セキュリティ技術導入ガイド) 構成基準などのセキュリティハードニング要件を満たしています。
静的アプリケーションセキュリティテスト
Cohesityは、アプリケーションのセキュリティ衛生を確保するために、静的解析およびバイナリのソースコード解析を実施しています。
動的アプリケーションセキュリティテスト
動的アプリケーションセキュリティテストスキャナーは、Cohesityの開発パイプラインに統合され、すべての重要な開発ブランチをスキャンします。発見された脆弱性は、脆弱性管理ポリシーに基づいて緩和されます。
オープンソースソフトウェアのセキュリティスキャン
Cohesityは、オープンソースソフトウェア (OSS) の使用を特定するため、Cohesityが開発したサードパーティ製のコードとバイナリをリポジトリで定期的にスキャンします。特定したセキュリティ上の脆弱性やOSSの不正使用は、Cohesityのポリシーに基づいて修正されます。
侵入テスト
Cohesityは、リリースサイクルに統合されたさまざまな自動化技術を利用して、内部侵入テストを継続的に実施しています。Cohesityは外部の第三者による侵入テストも定期的に実施しています。侵入テストで発見された脆弱性は、Cohesityの脆弱性管理ポリシーに基づいて緩和されます。
Cohesity REDLab
Cohesityは、同社のインフラストラクチャを保護しながら脅威テストを実施できるように設計されたエアギャップ環境において、実際のマルウェア、高度な脆弱性悪用、最新の攻撃手法を利用して、自社製品の実際の耐性を厳格に検証しています。 Cohesity REDLabの詳細はこちら。
脆弱性管理
Cohesityは、製品および社内業務環境全体の脆弱性評価を定期的に行っています。脆弱性の発見を定期的に行い、その結果を開発やデプロイメントにフィードバックしてリスクを修正します。Cohesityは脆弱性管理ポリシーに基づいて脆弱性を修正します。
ソフトウェアサプライチェーンの検証
Cohesityのコードベースに統合されたすべてのサードパーティコンポーネント (オープンソースおよび商業ライセンスパッケージ、ソースコード、バイナリ、ライブラリ、OEMファームウェアを含むがこれに限定されない) は、脆弱性その他のセキュリティリスクについて定期的にテストされます。リスク軽減のプラクティスおよびサードパーティ製コンポーネントの脆弱性へのパッチ適用は、Cohesityの脆弱性管理ポリシーに従って実施されています。
エンジニアリングインフラのツールは常に最新の状態に保たれ、セキュリティ保護が設定されています。コンパイラとリンカーのセキュリティチェックとオプションが強制されます。
アプリのエコシステムとMarketplaceのセキュリティ
Cohesityは、Cohesity Marketplace内で顧客データの完全性とアプリケーションのセキュリティを確保するために、複数の制御およびプラクティスを採用しています。以下のような制御があります。
- Cohesity MarketPlaceアプリケーションを開発しようとする開発者やISV (Independent software vendors、独立系ソフトウェアベンダー) は、オンボーディングに先立ち、まずCohesityによる審査に合格する必要があります。
- Cohesityは、Cohesity Marketplaceに公開する前に、設計や脆弱性のスキャンなどを行い、すべてのアプリケーションの品質を確認します。
- Cohesityプラットフォームでの使用を目的としたすべてのMarketplaceアプリケーションは、Cohesityがデジタル署名しています。Cohesityプラットフォームは、署名されていないアプリケーションや不適切に署名されたアプリケーションを実行しません。Cohesityは、デジタル署名したMarketplaceアプリケーションをMarketplace以外のチャネルで配布することはありません。
- Cohesityプラットフォームでのアプリケーションの使用は、デフォルトで無効化されています。明示的なオプトインが必要です。
- Cohesityプラットフォームでアプリケーションは、ネットワーク、ストレージ、マイクロサービスの各レベルで、常に複数の度合いで隔離されて実行されます。
- Cohesityプラットフォームで動作する異なるアプリケーションは、デフォルトでは互いに通信や対話ができません。
- アプリケーションはCohesityプラットフォームのロールベースのアクセス制御フレームワークの中で実行されます。
セキュリティ基準とプログラム
Cohesityは、脆弱性管理、セキュアな製品開発ライフサイクル管理、インシデント対応の業界標準フレームワークに準拠しています。
CVSSとCVE
Cohesityは確認された脆弱性をCVSS (Common Vulnerability Scoring System、共通脆弱性評価システム) バージョン3を用いて評価し、優先順位付けを行います。Cohesityは確認されたセキュリティ脆弱性に対してCVE (Common Vulnerabilities and Exposures、共通脆弱性と露出) 識別子を割り当てます。
セキュアな製品開発ライフサイクルの多面的なプラクティス
Cohesityはセキュアな製品開発ライフサイクルに従い、各製品のライフサイクルを通じてセキュリティを提供し、維持します。Cohesityは、以下の6つのプラクティスを実践しています。
- セキュリティトレーニング
- 設計におけるセキュリティ
- 脅威モデル
- 脆弱性管理
- セキュアなソフトウェアリリース
- 製品セキュリティ対応
セキュリティインシデント対応サービスのフレームワーク
Cohesityはセキュリティインシデントおよびイベントを迅速かつ効果的に検知し、対応、復旧するためのセキュリティインシデント対応プログラムを導入しています。セキュリティイベントはInformation Security (情報セキュリティ) オフィスに報告され、問題が解決するまで追跡・監視されます。オンコール対応チームが、定期検査済みの対応プレイブックおよび手順により、セキュリティイベントや可用性イベントを管理します。
製品インシデント対応
Cohesityは自社製品の脆弱性の分析、緩和、修正をサポートする製品インシデント対応計画を採用しています。この計画は、第3者である研究者やお客様からの責任ある開示も対象としています。
セキュリティトレーニング
Cohesityは開発者、アーキテクト、開発マネージャー、リリースマネージャー、QAエンジニア、プロダクトマネージャーに対して、製品開発ライフサイクルを通じてセキュリティ慣行を取り入れるためのセキュリティトレーニングとリソースを提供しています。Cohesityは製品開発におけるセキュリティのベストプラクティスを網羅したセキュアコーディングトレーニングを四半期ごとに実施し、すべてのエンジニアに受講を義務付けています。
責任ある開示の基準
Cohesityは業界のベストプラクティスに従い、リスクベースのアプローチで製品ライフサイクルを通じて脆弱性を発見、調査し、対処しています。CohesityのProduct Security (製品セキュリティ) 専門チームは、潜在的なセキュリティ脆弱性に関するすべての報告を迅速に調査し、それに対応します。また、Cohesityの製品インシデント対応計画は、製品の脆弱性の分析、緩和、修正をサポートしています。この計画は、第3者である研究者、顧客、またはパートナーから問題が報告された場合の責任ある開示プロセスも対象としています。
確認された脆弱性の評価と優先順位付け
Cohesityは、確認した脆弱性をCVSS (Common Vulnerability Scoring System、共通脆弱性評価システム) バージョン3を用いて評価し、優先順位を付け、重大度クラスごとに対応SLAを管理しています。
セキュリティ脆弱性の解消
Cohesityは、特定した脆弱性の修正を、(Cohesityの脆弱性管理ポリシーに基づく) 重要度と影響度に応じた時間枠で解決しています。
確認された脆弱性の特定
Cohesityは確認されたセキュリティ脆弱性に対してCVE (Common Vulnerabilities and Exposures、共通脆弱性と露出) 識別子を割り当てます。
サポート対象製品バージョンにおける脆弱性の解消
すべてのサポート対象製品バージョンで特定された脆弱性は、Cohesityの脆弱性管理ポリシーに基づいて解決されます。
累積的な脆弱性の修正
Cohesity製品のメジャー、マイナー、LTS (long-term support、長期サポート) リリースには、少なくとも、以前のリリースからの累積的な脆弱性修正が盛り込まれることになっています。
重要で影響の大きい脆弱性に対するメンテナンスリリースの迅速化
重大なリスクや影響度の高い脆弱性が確認された場合、Cohesityは、自社の脆弱性管理ポリシーで定められたSLAよりも迅速に、サポート対象製品のメンテナンスリリースやパッチを臨時に前倒しで提供することがあります。
お客様への脆弱性の通知
Cohesityは、サポートポータルのアラート、メール、フィールドノートを通じて、お客様に脆弱性を積極的にお知らせしています。ナレッジベースの記事は、特定の脆弱性による影響や必要な措置の概要を文書化して公開しています。
Cohesityは、Cohesityが管理するクラウドサービスおよびSoftware as a Service (SaaS) 製品に対して、厳格なセキュリティ、プライバシー、回復力の基準を維持しています。Heliosプラットフォーム、サービス、顧客データを常に安全に利用できるようにするためにCohesityが守っている重要なプラクティスについてご覧ください。
Heliosの管理
お客様のセルフマネージド製品およびサービスの一元的な管理とアナリティクスを行うクラウドベースのHeliosプラットフォームは、お客様が管理できます (Helios管理サービス)。
導入済みのCohesity製品やサービスによって、お客様によるHelios管理サービスの利用は必須またはオプションのいずれかになります。
管理サービス
Cohesityが運営するHelios管理サービスは、お客様のセルフマネージドCohesity製品およびCohesityが管理するデータ管理サービスの一元的な管理とアナリティクスを実現します。お客様がセルフマネージド製品をHelios管理サービスに登録することは必須ではありません。
お客様が登録を選択する場合、お客様の製品はHelios管理サービスと通信し、サービスの提供に必要な製品の遠隔測定を行うとともに、クラウドベースの一元的な管理およびアナリティクスを実現します。Helios管理サービスの詳細については、Cohesityドキュメントポータルにある『 Helios SaaS Security Brief (Helios SaaSセキュリティ概要) 』をご覧ください。
データ管理サービス
Cohesity管理型のデータ管理サービスは、お客様がデータをCohesityのクラウドベースインフラで保存、管理、保護できるようにするSaaS製品群です。お客様がHelios管理サービスを通じて管理する必要があるサービスです。Cohesityのデータ管理サービスは、サブスクリプション方式でご利用いただけます。
SaaSコネクター
Cohesityのデータ管理サービスの一環として、お客様にHelios SaaSコネクターの導入をお願いする場合があります。このSaaSコネクターは、お客様のデータセンターにデプロイされるオンプレミスVMで、オンプレミスのデータソースとCohesityのデータ管理サービスを接続するためのセキュアなチャネルを確立します。
セキュリティアーキテクチャとテナントの隔離
Heliosのデータ管理環境は、管理サービスとデータサービスが互いに論理的に分離されています。
Cohesity管理型のHeliosサービスはネイティブなマルチテナントで、各テナントは固有の組織として実装されます。組織は論理的に分離され、データ、ポリシー、管理者といった組織のリソースは、それが所属する組織に限定されます。
テナント専用のデータリポジトリにより、お客様のデータは他のお客様から隔離されます。
クラウドインフラ
Cohesityは、Helios管理サービスやCohesity管理型のデータ管理サービスを含むクラウドインフラへの不正アクセスや侵害を防ぐため、ゼロトラストの原則に基づくアクセス制御を導入して論理的セキュリティを確保しています。
顧客認証とアクセス制御
Helios管理サービスは、強力なセキュリティ基準とお客様独自のセキュリティポリシーに従って、ユーザーアカウントとそこに割り当てられたアクセスを管理するための幅広い制御をお客様に提供します。すべてのテナント組織では、管理ユーザーがその組織内の他のユーザーを管理します。組織の管理者はロールベースアクセスコントロール (RBAC) を通じて、ユーザーを追加・管理できます。標準ロールおよびカスタム定義のロールに対するきめ細かい制御により、最小特権と職務分離の原則適用を実現できます。また、テナント管理者は、Helios管理サービスを既存のIDプロバイダーと統合することも可能です。これにより、パスワードポリシーや多要素認証 (MFA) など、各組織独自の認証制御を適用できます。
従業員認証とアクセス制御
Cohesityは、Helios管理サービスへの内部アクセスに極めて制限的なアプローチを維持します。アクセスは、システムを管理・維持する職務上の責任に関連する厳密な必要性に基づいて行われます。Cohesityは、最小特権と職務分離の原則を遵守し、内部アクセス制御と権限制御を適用しています。ユーザーが特定の役割にログインする前に確立された資格基準を満たす必要があり、あらゆる場合において事前に文書による管理者の承認を得る必要があります。Cohesityの全ユーザーには、一意のユーザーIDおよび多要素認証が必要です。
データ隔離
Helios管理サービスでは、各テナントのデータとメタデータは論理的に分離され、他のテナントのものとは隔離されます。Cohesityが管理するデータ管理サービスでは、各テナントに固有のストレージリポジトリが割り当てられ、あるテナントのコンテンツが他のテナントに共有されたりアクセスされたりしないよう保証しています。
データの耐障害性と可用性
Helios管理サービスは、(定期保守や緊急保守のための時間を除く) 99.9% (9が3つ) の可用性を維持します。Heliosデータ管理サービスは、同じAmazon Web Services (AWS) リージョンでそれぞれ何マイルも離れた3つ以上のアベイラビリティゾーンにある、お客様が定義済みのリージョンで、AWS S3サービスを利用しています。AWS S3サービスは、99.999999999% (9が11個) のデータ耐久性を保証しています。災害が発生した場合、Helios管理サービスは、S3に保存されているデータのみを使って、データ管理サービスに保存されているデータを再現できます。
データの暗号化
すべての顧客データ (Helios管理サービスのメタデータとデータ管理サービス自体のデータ) は、強力な業界標準の暗号化アルゴリズムとプロトコルを使用して、保存時および転送中に暗号化されます。
移動中
Helios管理サービスおよびデータ管理サービスとの間でやり取りされるお客様のデータは転送中すべて暗号化されており、機密性を確保するとともに、許可された開示または変更を防ぎます。Cohesityは、トランスポート層のセキュリティとしてTLS 1.2およびmTLSプロトコルを使用し、PFS (Perfect Forward Secrecy、完全な送信データの機密性) 保護を備えたFIPS (Federal Information Processing Standard、米国連邦情報処理規格) 認定の暗号スイートのみを使用します。
保存時
Helios管理サービスおよびデータ管理サービスにおけるすべての顧客データは保存時に、AES-256暗号を使用して暗号化されます。すべての暗号鍵は、外部のKMS (鍵管理システム、key management system) に安全に保管されます。また、Cohesityが管理するデータ管理サービスを利用するお客様には、暗号鍵を安全に管理するための複数の選択肢があり、Cohesityが管理するKMS (Key Management Service、鍵管理サービス) を利用することも、Amazon Web Services KMSを介して独自の鍵を管理することもできます。
インフラ攻撃防御
Cohesityは、分散型サービス拒否 (DDOS)攻撃、侵入攻撃、マルウェア攻撃に対して、いくつかの対策を実施しています。これらの対策は、Helios環境を管理するために導入した監視インフラに組み込まれています。Cohesityは、ファイアウォールを使って接続を常時監視し、異常を検知しています。異常を検知すると、CohesityはHelios制御プレーン環境への接続をブロックして評価します。Helios制御プレーン環境内のサーバー、コンテナ、インフラは、脆弱性に対して監視され、定期的に修正が行われます。
データセンターのセキュリティ
CohesityのHelios管理サービスおよびデータ管理サービスは、Amazon Web Services (AWS) でホストされています。AWSデータセンターのセキュリティ制御について詳しくは、https://aws.amazon.com/compliance/data-center/controls/をご覧ください。
ビジネス継続性と災害復旧
Cohesityは、事業運営と災害復旧対応を対象とする事業継続計画を維持します。当社は、事業に対するリスクを定期的に評価し、リスクを許容範囲内に収めるために適切な取り扱い計画を適用しています。この計画は、重要なビジネスプロセスを特定し、ビジネスの中断を引き起こす可能性のある脅威を文書化し、お客様に対するCohesityの義務を確実に果たすために接続性とサポートシステムの復旧に対処するものです。
脆弱性管理
Cohesityは脅威および脆弱性管理プログラムを導入しており、ベンダーが認めた脆弱性や、研究者が報告した脆弱性、脆弱性スキャンや侵入テスト、Cohesityの担当者が特定した社内で発見された脆弱性を継続的に監視しています。脅威は重大度に基づいてランク付けされ、必要に応じた修正のために割り当てられます。
監視とアラート
Heliosは、サービスのセキュリティと可用性について、継続的な監視を実施しています。
監視は各サービスの機能であり、主要なパフォーマンス指標と測定基準が最初から組み込まれています。ダッシュボードと指標は、監視チームと対応チームが追跡します。アラートは開発工程で設計されます。アラートは、クラウド運用チームと開発チームが確認し、本番環境にデプロイしながら閾値を設定し、監視しています。
Cohesityの企業セキュリティ対策は、Cohesityとお客様の資産のセキュリティ、安全、コンプライアンスを確保するという当社のコミットメントを示すものです。Cohesityはお客様の情報のセキュリティを非常に重視しており、ここで説明する管理を実行することで、お客様やパートナーの皆様との信頼関係を確立しています。
Information Security (情報セキュリティ) 組織
CohesityのCISOが主導し、Cohesity Security Council (Cohesityセキュリティカウンシル) が監督するCohesity Information Security (Cohesity情報セキュリティ) は、お客様からお預かりした資産はもちろん、Cohesityのシステム、プロセス、データ、社員についても、セキュリティ、安全性、コンプライアンスを確保することを使命とする専門家チームです。
Information Security (情報セキュリティ) ポリシー
CohesityのInformation Security (情報セキュリティ) ポリシーパッケージは、組織、社員、情報資産を対象としています。このポリシーは、業界標準に沿ったもので、セキュリティ組織、資産の利用規則、アクセス制御、情報の分類と取り扱いなどの領域を含みます。ポリシーは、Cohesity Information Security (Cohesity情報セキュリティ) が定期的に見直し、適宜更新します。
セキュリティ認知度トレーニング
Cohesity Information Security (Cohesity情報セキュリティ) は、情報セキュリティのトレーニング要件を確立し、すべての社員がトレーニングを完了して、その責任を理解することを保証する責任があります。新入社員の入社時に情報セキュリティトレーニングを実施し、毎年再トレーニングを義務付けています。トレーニングは、特定のトピックに関する定期的なプレゼンテーション、コミュニケーション、ラーニングセッションで補強されます。例えば、エンジニアリングチームのメンバーはセキュリティの原則やセキュアな開発手法に関する定期的なトレーニングを受けるなど、ビジネスユニットは必要に応じて、それぞれのロールや職責に特化したトレーニングを受けることになります。
サイバーリスク管理
Cohesityはサイバーリスク管理プログラムを活用して、システムインフラ、ネットワーク、エンドポイント、データ、知的財産などのIT資産に対するリスクを特定し、優先順位を付け管理します。Cohesityは、このサイバーリスク管理プログラムを通じて、社内外のサイバーリスク、その発生可能性、潜在的な影響を特定しています。Cohesityは、リスクオーナーと協力し、Cohesityのリスクアペタイトに基づき、リスクの軽減と修正を行います。
ベンダーリスク管理
Cohesityのベンダーリスク管理プログラムでは、サードパーティベンダーのセキュリティ体制をオンボーディング前にレビューし検証してから、確立されたベンダー階層に基づき、フォローアップ評価を実施しています。Cohesityは、Cohesityのセキュリティ体制、お客様との約束、該当する規制要件に沿ったリスク管理プログラムを通じて、ベンダーのセキュリティリスクを管理・監視します。
脅威インテリジェンスと脆弱性管理
Cohesity Information Security (Cohesity情報セキュリティ) は、脆弱性管理プログラムを維持し、制御オーナーと協力して脆弱性を特定して修正し、Cohesityの製品およびインフラへの脅威を軽減しています。また、該当するCohesityの資産に対して侵入テストを実施し、修正に優先順位を付けて、Cohesityのセキュリティ体制を最適化しています。
インシデント対応
Cohesity Information Security (Cohesity情報セキュリティ) は、インシデント管理ポリシーを維持し、対応業務の体制とガイダンスを提供する手順を維持しています。このポリシーのインシデント対応手順は、セキュリティイベントや脆弱性を迅速に検知し、インシデントの特定、評価、封じ込め、緩和、インシデントからのリカバリなど、セキュリティインシデントへの迅速な対応を促進するために、Cohesityの担当者が従うべき手順を定めたものです。
人事セキュリティ
入社時には、身元調査を行います。また、社員は会社の 行動規範、ポリシー、秘密保持契約書を受け取り、承認します。
物理的セキュリティ
Cohesityのオフィスは、警備員やロビー担当者によって物理的に保護されています。バッジによるアクセス制御は、一元的に管理され維持されています。セキュリティで保護されたエリアへのアクセスには、エスカレーションされた権限が必要です。カメラシステムを導入しています。すべての拠点で、24時間365日、入館ゲートと警備員を配置し、カメラと照明システムを採用して、指定された個人のバッジによる入館を義務付けています。CohesityはSOC 2認証を取得しており、ご要望に応じて証明書を提供できます。
Cohesityは、個人情報の機密保持ガイドラインに従い、適用されるデータ保護法および規制に従って個人情報を処理します。すべての個人情報は、引き続きお客様の所有物です。Cohesityのセキュリティコンプライアンスと認証に関する情報は、 こちらでご覧いただけます。また、データ処理に関する補遺 (www.cohesity.com/agreements参照) において、該当する場合に当社のお客様に適用される多数の法的、技術的、組織的保護を明記しています。
プライバシーポリシー
当社のプライバシーポリシーは、 www.cohesity.com/agreementsでご確認いただけます。
処理拠点
Cohesityは、欧州経済地域 (EEA) 外で個人情報を処理することがあります。この処理の例としては、お客様が個人情報をCohesityと共有することを選択した場合の、24時間365日体制のサポートサービスの提供などがあります。このようなデータ転送を可能にするために用いられる法的な仕組みは、 www.cohesity.com/agreementsでご覧いただけるCohesityのデータ処理に関する補遺に詳述されているように、標準契約条項 (SCC) です。
サポート拠点
Cohesityのサポートセンターは現在、米国、アイルランド、インド、カナダ、日本にあります。
国境を越えたデータ転送
国境を越えたデータ転送については、 www.cohesity.com/agreementsにあるデータ処理に関する補遺で詳しく説明しています。
国際規制への準拠
Cohesityは、欧州連合のGDPR (General Data Protection Regulation、一般データ保護規則)、欧州経済領域およびその加盟国ならびにスイスおよび英国の法令、CCPA (California Consumer Privacy Act、カリフォルニア州消費者プライバシー法)、カナダの個人情報保護および電子文書法など、個人情報の処理に関して法律上、Cohesityに該当するすべてのデータ保護法および規制に従って個人情報を処理しています。詳細については、 www.cohesity.com/agreementsでデータ処理に関する補遺をご覧ください。
GDPR
GDPRなど該当するデータ保護法および規制の下では、お客様がCohesityの製品およびサービスを使用して個人情報をCohesityと共有する場合、一般的にお客様がデータ管理者で、Cohesityをデータ処理者として任命しているとみなされます。
CCPA
カリフォルニア州消費者プライバシー法 (CCPA) の遵守については、 www.cohesity.com/jp/agreementsにあるデータ処理に関する補遺で詳しく説明しています。
データ処理契約
Cohesityのデータ処理に関する補遺は、 www.cohesity.com/agreementsをご覧ください。この補遺はHelios SaaSを使用するすべての顧客に自動的に適用され、CohesityのHelios SaaSサービス利用規約 (同じくwww.cohesity.com/agreements参照) にも組み込まれています。 データ処理に関する補遺は他の活動にも適用されるべきだとお客様がお考えの場合は、 Cohesity Legalまでご連絡ください。
Cohesityは業界規格、米国政府規格、国際規格に従い、お客様のデータの機密性、完全性、可用性を保護するための包括的なセキュリティ認証プログラムを維持しています。また、Cohesityの製品およびサービスは、さまざまなセキュリティ基準を満たしていると独立した第3者監査人より認定されています。 Cohesityのセキュリティおよびデューデリジェンスセンターには、 こちらからアクセスできます。
SOC 2 Type IIレポート
Cohesity Helios SaaSプラットフォームは、Trustサービス規準のセキュリティ、可用性、機密性に関連する、SOC 2 (Service Organization Controls 2、受託会社の内部統制) Type II監査を毎年受けて、情報セキュリティシステム制御を評価しています。
ISO27001
Cohesityクラウドサービスを支える情報セキュリティ管理システム (ISMS) は、ISO/IEC 27001:2022 認証を取得しています。
HIPAA
Cohesityの製品とサービスは、HIPAA (Health Insurance Portability and Accountability Act、医療保険の相互運用性と説明責任に関する法律) ガイドラインに沿ったセキュリティベンチマークと要件に準拠しています。
貿易協定法準拠
Cohesityは米国貿易協定法 (TAA) に準拠しており、カリフォルニア州サンノゼからハードウェアを出荷しています。Cohesityのホワイトラベルシステムは、TAAに準拠した指定国で製造と組立が行われています。
2019年国防権限法
Cohesityは、2019年国防権限法第889条に準拠しています。
米国国防総省情報ネットワーク承認済み製品リスト
Cohesityプラットフォームは、米国国防総省 (DoD) の機関である国防情報システム局 (DISA) によって、DoD情報ネットワーク (DoDIN) 認定製品リスト (APL) への掲載が承認されています。DoDIN APLは、DoDネットワークにデプロイメントするための厳格なサイバーセキュリティおよび相互運用の認証要件を満たした製品を一元的にリストアップしたものです。
FedRAMP
FedRAMPは、クラウド技術と連邦政府機関に対する標準化されたセキュリティおよびリスク評価手法を提供することにより、連邦政府全体で安全なクラウドサービスの導入を促進する政府全体プログラムです。
Cohesityは、FedRAMP Moderate 認証を取得しています。
GovRAMP
GovRAMPは、IaaS、PaaS、SaaSソリューションを提供するサービスプロバイダー、第三者評価組織、政府関係者で構成される、登録済みの501(c)(6) 非営利会員組織です。2020年に設立されたStateRAMP (通称GovRAMP) は、州政府・地方自治体向けサービスプロバイダーに求められるサイバーセキュリティ基準の標準化が明確に必要であったことから誕生しました。
Cohesityは、GovRAMP認証を取得しています。
ATO (Authorization to Operate、運用の許可)
Cohesityは、米国国防総省 (DoD) 機関、米国エネルギー省 (DOE)、米国情報機関の高度に機密化された各ネットワーク内で自社製品を運用するためのATOを維持しています。DoDのトップシークレットネットワークにデプロイメントするCohesity製品には、STIG (Security Technical Information Guides、セキュリティ技術情報ガイド) が用意されています。
コモンクライテリアEAL2+
Cohesityのプラットフォームは、コモンクライテリアのEAL2+ ALC_FLR.1認定を受けています。コモンクライテリア (Common Criteria for Information Technology Security Evaluation、情報技術セキュリティ評価のためのコモンクライテリア) は、コンピューターセキュリティ認証の国際規格 (ISO/IEC 15408) です。
詳細は、 こちらでご確認ください。
NIST FIPS 140-2暗号化モジュール検証
Cohesityの製品に採用されている暗号モジュールは、NIST (United States National Institute of Standards and Technology、米国国立標準技術研究所) により、FIPS (Federal Information Processing Standards、連邦情報処理規格) 140-2レベル1規格で検証されています。FIPS 140-2は、暗号アルゴリズムのモジュール設計と実装がセキュアかつ正確であることを保証する、米国政府の暗号モジュールに関する規格です。
詳細は、 こちらでご確認ください。
IPv6
Cohesityプラットフォームは、USGv6テストプログラムの一環であるニューハンプシャー大学InterOperability Lab (UNH-IOL) より、USGv6の認定を受けています。
詳細は、 https://www.iol.unh.edu/registry/usgv6-2008?name=cohesityでご確認ください。
SEC規則17a-4(f)、FINRA規則4511(c)、CFTC規則1.31(c)-(d)
Cohesityプラットフォームは、WORM (Write-Once, Read-Many) 機能を内蔵しています。このWORMの実装は、Cohasset Associatesにより、SEC (Securities and Exchange Commission、米国証券取引委員会) 規則17a-4(f)、FINRA (Financial Industry Regulatory Authority、金融業規制機構) 規則4511(c)、CFTC (Commodity Futures Trading Commission、商品先物取引委員会) 規則1.31(c)-(d) に準拠していると評価されています。
詳細は、 こちらでご確認ください。
以下の関連情報は、Cohesityのお客様およびパートナーの皆様に、Cohesityの製品およびサービスのセキュリティとプライバシーに関する詳細を提供するものです。
データ保護に関する補遺
Cohesityは、お客様のGDPRまたはCCPAのコンプライアンスニーズに対応するため、 データ処理に関する補遺 (DPA) を用意しています。
サービス提供企業のリスト
Cohesityは、サービスを提供するために、個人情報の (副) 処理者 としてサードパーティを利用することがあります。
製品およびサービスに関するドキュメント
Cohesityのドキュメントポータルは、 MyCohesityからアクセスできます。
Helios SaaS Security Brief (Helios SaaSセキュリティ概要)
『 Helios SaaS Security Brief (Helios SaaSセキュリティ概要)』は、Cohesityのドキュメントポータルでご覧いただけます。
DataPlatform Security Whitepaper (DataPlatformセキュリティホワイトぺーパー)
『 DataPlatform Security white paper (DataPlatformセキュリティホワイトぺーパー)』は、Cohesityドキュメントポータルでご覧いただけます。
DataPlatform Security Hardening Guide (DataPlatformセキュリティハードニングガイド)
『 DataPlatform Security Hardening Guide (DataPlatformセキュリティハードニングガイド)』は、Cohesityドキュメントポータルでご覧いただけます。
Cohesity Ransomware Protection – Prepare and Recover (Cohesityランサムウェアからの保護 - 準備と復旧)
『 Cohesity Ransomware Protection – Prepare and Recover (Cohesityランサムウェアからの保護 - 準備と復旧)』ホワイトペーパーは、Cohesityドキュメントポータルでご覧いただけます。